Una vulnerabilidad de OpenSSL una vez señalada como el primer parche de nivel crítico desde el error Heartbleed que remodeló Internet. acaba de ser parcheado. En última instancia, llegó como una solución de seguridad “alta” para un desbordamiento de búfer, que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que conduzca a la ejecución remota de código.
OpenSSL versión 3.0.7 fue anunciado la semana pasada como una versión crítica de corrección de seguridad. Las vulnerabilidades específicas (ahora CVE-2022-37786 y CVE-2022-3602
Pero las vulnerabilidades específicas (desbordamientos del lado del cliente en circunstancias limitadas que son mitigados por el diseño de la pila en la mayoría de las plataformas modernas) ahora están parcheadas y calificadas como “Altas”. Y con OpenSSL 1.1.1 todavía en su fase de soporte a largo plazo, OpenSSL 3.x no está tan extendido.
El experto en malware Marcus Hutchins señala a una Confirmación de OpenSSL en GitHub que detalla los problemas de código: “se corrigieron dos desbordamientos de búfer en funciones de decodificación de código insignificantes”. Una dirección de correo electrónico maliciosa, verificada dentro de un certificado X.509, podría desbordar bytes en una pila, lo que provocaría un bloqueo o una posible ejecución remota del código, según la plataforma y la configuración.
Pero esta vulnerabilidad afecta principalmente a los clientes, no a los servidores, por lo que es probable que no siga el mismo tipo de restablecimiento de seguridad en Internet (y absurdo) de Heartbleed. Las VPN que utilizan OpenSSL 3.x podrían verse afectadas, por ejemplo, e idiomas como Node.js. El experto en ciberseguridad Kevin Beaumont señala que las protecciones de desbordamiento de pila en la mayoría de las configuraciones predeterminadas de las distribuciones de Linux deberían evitar la ejecución del código.
¿Qué cambió entre el anuncio de nivel crítico y el lanzamiento de alto nivel? El equipo de seguridad de OpenSSL escribe en un entrada en el blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios. En algunas distribuciones de Linux, el desbordamiento de 4 bytes posible con un ataque sobrescribía un búfer adyacente que aún no se usaba y, por lo tanto, no podía bloquear un sistema ni ejecutar código. La otra vulnerabilidad solo permitía que un atacante estableciera la duración de un desbordamiento, no el contenido.
Por lo tanto, si bien los bloqueos aún son posibles, y algunas pilas podrían organizarse de manera que hagan posible la ejecución remota de código, no es probable ni fácil, lo que reduce las vulnerabilidades a “altas”. Sin embargo, los usuarios de cualquier implementación de OpenSSL 3.x deben parchear lo antes posible. Y todos deberían buscar actualizaciones de software y sistema operativo que puedan solucionar estos problemas en varios subsistemas.
Servicio de vigilancia Datadog, en un buen resumen del tema, señala que su equipo de investigación de seguridad pudo bloquear una implementación de Windows utilizando una versión de OpenSSL 3.x en una prueba de concepto. Y aunque es probable que las implementaciones de Linux no sean explotables, aún podría surgir “un exploit diseñado para implementaciones de Linux”.
El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSL-NL) ha una lista continua de vulnerable software para el exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas se enumeran como vulnerables o bajo investigación.